Tout ce que vous voudriez savoir avant d'installer.
Un regard détaillé sur le fonctionnement de DataFirefly MCP Commerce — Serveur MCP / Commerce agentique PrestaShop, pourquoi nous l'avons conçu ainsi, et la réflexion derrière les fonctionnalités ci-dessus.
Le commerce agentique, concrètement
Les agents IA ne se contentent plus de répondre : ils agissent. ChatGPT et Claude savent désormais se connecter à des serveurs MCP pour interroger un service et exécuter des actions. DataFirefly MCP Commerce transforme votre boutique PrestaShop en serveur MCP : un agent peut rechercher un produit, consulter une fiche, constituer un panier et préparer une commande, le tout via un protocole standard, sans intégration sur mesure.
Un serveur MCP conforme et à jour
Le module implémente le transport Streamable HTTP en JSON-RPC 2.0 sur un endpoint unique, dans la dernière révision du protocole (2025-11-25), avec négociation de version et repli vers les versions antérieures. Les agents découvrent automatiquement les capacités via initialize puis tools/list, et appellent les outils via tools/call.
Double authentification : web et API
Les connecteurs web de Claude.ai et de ChatGPT n'acceptent qu'OAuth : le module fournit donc un serveur d'autorisation OAuth 2.1 complet (authorization code + PKCE S256, métadonnées de ressource protégée et enregistrement dynamique de client). L'agent se déclare seul et ouvre un écran de consentement où le client se connecte et approuve l'accès. Pour l'API Anthropic, Claude Desktop, Claude Code ou n8n, des jetons Bearer statiques se créent en un clic dans le back-office.
Préparer la commande sans toucher au paiement
Par défaut, le module fonctionne en mode transfert : l'agent assemble le panier puis renvoie une URL de paiement sécurisée. En la suivant, le client retrouve exactement ce panier dans sa session et finalise le paiement sur le tunnel PrestaShop habituel. Aucune donnée de paiement ne transite par l'agent : zéro exposition PCI. Un mode commande optionnel crée directement une commande en attente de paiement, pensé pour le B2B, le paiement à la livraison ou les devis.
Scopes, quotas et journal : la maîtrise
Chacun des neuf outils s'active indépendamment et chaque accès est borné par des scopes (catalog:read, cart:write, order:write). Un rate limiting par IP protège l'endpoint, et un journal d'activité détaillé trace chaque requête. Vous décidez précisément de ce qu'un agent peut voir et faire.
Sécurité par conception
Tous les jetons sont stockés hachés en SHA-256, jamais en clair. PKCE S256 est obligatoire, les redirect_uri sont validées, les codes d'autorisation sont à usage unique et les refresh tokens font l'objet d'une rotation. La découverte fonctionne via .well-known et via l'en-tête WWW-Authenticate, même sans URL simplifiées. Le tout est nativement compatible multiboutique.
Il n’y a pas encore d’avis.